Foi publicado no Diário Oficial da União a primeira multa aplicada pela Autoridade Nacional de Proteção de Dados Pessoais – ANPD, referente à LGPD a um provedor de pequeno porte.
A multa é referente a infrações à LGPD, entre elas a ausência de nomeação de DPO pela empresa fiscalizada. Na totalidade, a multa alcança R$14.400,00 (quatorze mil e quatrocentos reais).
A autuação do referido provedor acaba pondo um ponto final na discussão se a Resolução nº2/2022 da ANPD, que trouxe regulação mais branda para pequenas empresas, aplicar-se-ia ao setor de telecomunicações. Ou seja, com a referida autuação resta esclarecido que os pequenos provedores não estão protegidos pela regulação mais branda e deverão continuar a seguir as determinações da LGPD em sua integralidade, sem qualquer modificação.
Esse entendimento tem por fundamento o fato de o pequeno provedor ter sido multado pela ausência de indicação de um Encarregado (DPO), cuja obrigatoriedade de indicação é dispensada para empresas de pequeno porte nos termos do artigo 11 da Resolução n.º 2/2022 da ANPD.
Nesse sentido, cumpre esclarecer os motivos pelos quais os pequenos provedores ficaram de fora da regulamentação, sendo possível os extrair do próprio texto da Resolução n.º 2/2022, vez que a regulamentação explica que não poderá se beneficiar do tratamento jurídico diferenciado aqueles agentes de tratamento de pequeno porte que realizem tratamento de alto risco para os titulares.
Desta forma, a Resolução entende que o tratamento de alto risco para os titulares será auferido por critérios gerais e específicos, bastando que o agente atenda, cumulativamente, a um critério geral e um específico para ter seu tratamento caracterizado como de alto risco, sendo eles:
Critérios gerais:
a) tratamento de dados pessoais em larga escala; ou
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
Critérios específicos:
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Diante dos critérios, é possível notar que o pequeno provedor enquadra-se na atividade de alto risco, vez que realiza o tratamento de dados pessoais em larga escala, bem como, por vezes, utiliza-se de tecnologias emergentes ou inovadoras e de dados pessoais sensíveis de idosos.
Assim sendo, os provedores de pequeno porte precisam, dentre outras obrigações, nomear um DPO – que poderá ser alguém interno, ou uma empresa terceirizada.
No entanto, pontua-se que o cargo de DPO, seja terceirizado ou interno, exige a contratação de um profissional qualificado, visto as diversas atribuições do cargo.
Cabe esclarecer que o DPO (encarregado) é a pessoa responsável por fazer a comunicação entre provedor, titulares e autoridade nacional.
A identidade e as informações de contato do DPO deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site da empresa.
Ainda, o DPO deverá ser responsável por aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, bem como, receber ofícios/notificações da Autoridade Nacional de Proteção de Dados Pessoais – ANPD e adotar providências;
Também, caberá ao DPO elaborar o Relatório de Impacto à Proteção de Dados Pessoais, que é um documento que averigua os riscos do tratamento de dados pessoais e apresenta mecanismos para redução ou eliminação desses riscos. Este relatório, em determinados casos, poderá ser exigido pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD) em processos de fiscalização e sua não apresentação é passível de aplicação de sanção.
Por essas razões, parte-se do princípio que esse cargo exige uma qualificação especial e conhecimentos específicos, como noções técnicas e jurídicas, além de uma visão do negócio como um todo.
Ainda, o profissional que for nomeado DPO precisará de treinamentos e certificações específicas para conseguir analisar todo o cenário da empresa em relação ao tratamento de dados e deixá-la conforme com a lei.
Por último, é importante destacar que a LGPD está em pleno vigor e existe a necessidade de que seu provedor se adeque às medidas trazidas pela lei, visto que o descumprimento pode acarretar penalidades definidas na legislação, que podem ser advertência, publicização da infração ou a aplicação de multa, fixa ou diária, de 2% do seu faturamento limitada a R$ 50 milhões.
Dra. Anna Gardemann e Dra. Mariana Vidotti
Juntas compõem o corpo de Advogados da Gardemann & Vidotti Advogados Associados